信息安全风险评估与风险管理(PPT 101页)4

《信息安全风险评估与风险管理(PPT 101页)4》由会员分享，可在线阅读，更多相关《信息安全风险评估与风险管理(PPT 101页)4（102页珍藏版）》请在装配图网上搜索。

1、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿

2、里巧巧软商品交易在阿里巧巧 1信息安全风险评估与风险管理国家信息中心信息安全服务与研究中心范红 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 2汇报内容一、前言一、前言二、信息安全风险管理概述二、信息安全风险管理概述三、信息安全风险管理各组成部分三、信息安全风险管理各组成部分四、信息安全风

3、险管理的运用四、信息安全风险管理的运用五、结束语五、结束语SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 3一、前言 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

4、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 4二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任SIC INFOS

5、EC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 5二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命周信

6、息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 6信息安全风险管理的目的和意义 信息安全风险管理是信息安全保障工作中的一信息安全风险管理是信息安全保障工作

7、中的一项基础性工作项基础性工作 。1 1、信息安全风险管理体现在信息安全保障体系、信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。的技术、组织和管理等方面。2 2、信息安全风险管理贯穿信息系统生命周期的、信息安全风险管理贯穿信息系统生命周期的全部过程。全部过程。3 3、信息安全风险管理依据等级保护的思想和适、信息安全风险管理依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基息安全的信任体系、监控体系和应急处理等重要的基础设施，确定合适的安全措施，从而确保机构具有完础设施

8、，确定合适的安全措施，从而确保机构具有完成其使命的信息安全保障能力。成其使命的信息安全保障能力。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 7二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范

9、围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿

10、里巧巧 8信息安全风险管理的范围和对象SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 9二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管

11、理的内容和过程4 4、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 10信息安全风险管理的内容和过程 SIC INFO

12、SEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 11二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命

13、周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 12三维结构关系SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INF

14、OSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 13二、信息安全风险管理概述 1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3 3、信息安全风险管理的内容和过程信息安全风险管理的内容和过程4 4、信息安全风险管理与信息系统生命周信息安全风险管理与信息系统生命周期和信息安全目标的关系期和信息安全目

15、标的关系5 5、信息安全风险管理的角色和责任信息安全风险管理的角色和责任SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 14信息安全风险管理相关人员的角色和责任 层面层面信息系统信息系统信息安全风险管理信息安全风险管理角色角色内外部内外部责任责任角色角色内外部内外部责任责任决策层主管者内负责

16、信息系统的重大决策。主管者内负责信息安全风险管理的重大决策。管理层管理者内负责信息系统的规划，以及建设、运行、维护和监控等方面的组织和协调。管理者内负责信息安全风险管理的规划，以及实施和监控过程中的组织和协调。执行层建设者内或外负责信息系统的设计和实施。执行者内或外负责信息安全风险管理的实施。运行者内负责信息系统的日常运行和操作。维护者内或外负责信息系统的日常维护，包括维修和升级。监控者内负责信息系统的监视和控制。监控者内负责信息安全风险管理过程和结果的监视和控制。支持层专业者外为信息系统提供专业咨询、培训、诊断和工具等服务。专业者外为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。用户

17、层使用者内或外利用信息系统完成自身的任务。受益者内或外反馈信息安全风险管理的效果。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 15三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟

18、通与咨询6 6、监控与审查、监控与审查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 16三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查SIC

19、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 17对象确立概述对象确立是信息安全风险管理的第一对象确立是信息安全风险管理的第一步骤，根据要保护系统的业务目标和特性步骤，根据要保护系统的业务目标和特性，确定风险管理对象。其目的是为了明确，确定风险管理对象。其目的是为了明确信息安全风险管理的范围和对

20、象，以及对信息安全风险管理的范围和对象，以及对象的特性和安全要求。象的特性和安全要求。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 18对象确立过程SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC

21、 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 19风险管理准备SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 20信息系统调

22、查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 21信息系统分析SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

23、INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 22信息安全分析SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 23对象确立的文档阶段阶段输出文档输出文档文档内容文档内容风险管理准备风险管理计划书风险管理的目

24、的、意义、范围、目标、组织结构、经费预算和进度安排等。信息系统调查信息系统的描述报告信息系统的业务目标、业务特性、管理特性和技术特性等。信息系统分析信息系统的分析报告信息系统的体系结构和关键要素等。信息安全分析信息系统的安全要求报告信息系统的安全环境和安全要求等。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软

25、商品交易在阿里巧巧 24三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 25风险评估概述 风险评

26、估是信息安全风险管理的第二风险评估是信息安全风险管理的第二步，针对确立的风险管理对象所面临的风步，针对确立的风险管理对象所面临的风险进行识别、分析和评价。险进行识别、分析和评价。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 26风险评估过程SIC INFOSEC SIC INFOSEC S

27、IC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 27风险评估准备SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品

28、买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 28风险因素识别SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 29风险程度分析SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INF

29、OSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 30风险等级评价SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 31风

30、险评估的文档阶段阶段输出文档输出文档文档内容文档内容风险评估准备风险评估计划书风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等。风险评估程序风险评估的工作流程、输入数据和输出结果等。入选风险评估方法和工具列表合适的风险评估方法和工具列表。风险因素识别需要保护的资产清单对机构使命具有关键和重要作用的需要保护的资产清单。面临的威胁列表机构的信息资产面临的威胁列表。存在的脆弱性列表机构的信息资产存在的脆弱性列表。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

31、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 32风险评估的文档风险程度分析已有安全措施分析报告确认已有的安全措施，包括技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）的安全功能、组织层面（即结构、岗位和人员）的安全控制和管理层面（即策略、规章和制度）的安全对策。威胁源分析报告从利益、复仇、好奇和自负等驱使因素，分析威胁源动机的强弱。威胁行为分析报告从攻击的强度、广度、速度和深度等方面，分析威胁行为能力的高低。脆弱性分析报告按威胁/脆弱性对，分析

32、脆弱性被威胁利用的难以程度。资产价值分析报告从敏感性、关键性和昂贵性等方面，分析资产价值的大小。影响程度分析报告从资产损失、使命妨碍和人员伤亡等方面，分析影响程度的深浅。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 33风险评估的文档风险等级评价威胁源等级列表威胁源动机的等级列表。威胁行为

33、等级列表威胁行为能力的等级列表。脆弱性等级列表脆弱性被利用的等级列表。资产价值等级列表资产价值的等级列表。影响程度等级列表影响程度的等级列表。风险评估报告汇总上述分析报告和等级列表，综合评价风险的等级。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 34三、信息安全风险管理各组成部分 1 1

34、、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 35风险控制概述 风险控制是信息安全风险管理的第三步骤，风险控制是信息安全风险管理的第

35、三步骤，依据风险评估的结果，选择和实施合适的安全措依据风险评估的结果，选择和实施合适的安全措施。施。风险控制方式主要有规避、转移和降低三种风险控制方式主要有规避、转移和降低三种方式方式。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 36风险控制需求及其相应的风险控制措施PPDRR风险控制需

36、求风险控制需求风险控制措施风险控制措施策略Policy设备管理制度建立健全各种安全相关的规章制定和操作规范，使得保护、检测和响应环节有章可循、切实有效。机房出入守则系统安全管理守则系统安全配置明细网络安全管理守则网络安全配置明细应用安全管理守则应用安全配置明细应急响应计划安全事件处理准则SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴

37、 软商品交易在阿里巧巧软商品交易在阿里巧巧 37主要的风险控制需求及其相应的风险控制措施保护Protection机房严格按照GB 50174-1993电子计算机机房设计规范、GB 9361-1988计算站场地安全要求、GB 2887-1982计算机站场地技术要求和GB/T 2887-2000计算机场地通用规范等国家标准建设和维护计算机机房。门控安装门控系统保安建设保安制度和保安队伍。电磁屏蔽在必要的地方设置抗电磁干扰和防电磁泄漏的设施。病毒防杀全面部署防病毒系统。漏洞补丁及时下载和安装最新的漏洞补丁模块。安全配置严格遵守各系统单元的安全配置明细，避免配置中的安全漏洞。身份认证根据不同的安全强度

38、，分别采用身份标识/口令、数字钥匙、数字证书、生物识别、双因子等级别的身份认证系统，对设备、用户、服务等主客体进行身份认证。访问控制根据不同的安全强度，分别采用自主型、强制型等级别的访问控制系统，对设备、用户等主体访问客体的权限进行控制。数据加密根据不同的安全强度，分别采用商密、普密、机密等级别的数据加密系统，对传输数据和存储数据进行加密。边界控制在网络边界布置防火墙，阻止来自外界非法访问。数字水印对于需要版权保护的图片、声音、文字等形式的信息，采用数字水印技术加以保护。数字签名在需要防止事后否认时，可采用数字签名技术。内容净化部署内容过滤系统。安全机构、安全岗位、安全责任建立健全安全机构，合

39、理设置安全岗位，明确划分安全责任。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 38主要的风险控制需求及其相应的风险控制措施检测Detection监视、监测和报警在适当的位置安置监视器和报警器，在各系统单元中配备监测系统和报警系统，以实时发现安全事件并及时报警。数据校验通过数据校验技术，发

40、现数据篡改。主机入侵检测部署主机入侵检测系统，发现主机入侵行为。主机状态监测部署主机状态监测系统，随时掌握主机运行状态。网络入侵检测部署网络入侵检测系统，发现网络入侵行为。网络状态监测部署网络状态监测系统，随时掌握网络运行状态。安全审计在各系统单元中配备安全审计，以发现深层安全漏洞和安全事件。安全监督、安全检查实行持续有效的安全监督，预演应急响应计划。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

41、 INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 39主要的风险控制需求及其相应的风险控制措施响应Response恢复Recovery故障修复、事故排除确保随时能够获取故障修复和事故排除的技术人员和软硬件工具。设施备份与恢复对于关键设施，配备设施备份与恢复系统。系统备份与恢复对于关键系统，配备系统备份与恢复系统。数据备份与恢复对于关键数据，配备数据备份与恢复系统。信道备份与恢复对于关键信道，配备设信道份与恢复系统。应用备份与恢复对于关键应用，配备应用备份与恢复系统。应急响应按照应急响应计划处理应急事件。安全事件处理按照安全事件处理找出

42、原因、追究责任、总结经验、提出改进。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 40风险控制过程SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC

43、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 41现存风险判断SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 42控制目标确立SIC INFOSEC SIC INFOSEC

44、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 43控制措施选择SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商

45、品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 44控制措施实施SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 45风险控制的文档阶段阶段输出文档输出文档文档内容文档内容现存风险判断风险接受等级划分表风险接受等级的划分，即把风险评估得出的风险等级划分为可接受和

46、不可接受两种。现存风险接受判断书现存风险是否可接受的判断结果。控制目标确立风险控制需求分析报告从技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）、组织层面（即结构、岗位和人员）和管理层面（即策略、规章和制度），分析风险控制的需求。风险控制目标列表风险控制目标的列表，包括控制对象及其最低保护等级。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴

47、巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 46风险控制的文档控制措施选择入选风险控制方式说明报告选择合适的风险控制方式（包括规避方式、转移方式和降低方式），并说明选择的理由以及被选控制方式的使用方法和注意事项等。入选风险控制措施说明报告选择合适的风险控制措施，并说明选择的理由以及被选控制措施的成本、使用方法和注意事项等。控制措施实施风险控制实施计划书风险控制的范围、对象、目标、组织结构、成本预算和进度安排等。风险控制实施记录风险控制措施实施的过程和结果。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC

48、 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 47三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、沟通与咨询、沟通与咨询6 6、监控与审查、监控与审查SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOS

49、EC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 48审核批准概述 审核批准是信息安全风险管理的第四步骤，审核批审核批准是信息安全风险管理的第四步骤，审核批准包括审核和批准两部分：审核是指通过审查、测试、准包括审核和批准两部分：审核是指通过审查、测试、评审等手段，检验风险评估和风险控制的结果是否满足评审等手段，检验风险评估和风险控制的结果是否满足信息系统的安全要求；批准是指机构的决策层依据审核信息系统的安全要求；批准是指机构的决策层依据审核的结果，做出

50、是否认可的决定。的结果，做出是否认可的决定。审核既可以由机构内部完成，也可以委托外部专业审核既可以由机构内部完成，也可以委托外部专业机构来完成，这主要取决于信息系统的性质和机构自身机构来完成，这主要取决于信息系统的性质和机构自身的专业能力。批准一般必须由机构内部或更高层的主管的专业能力。批准一般必须由机构内部或更高层的主管机构的决策层来执行。机构的决策层来执行。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSE

51、C SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 49审核批准过程及其在信息安全风险管理中的位置 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 50审核申请SIC INFOSEC SIC INFOSEC SIC INFO

52、SEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 51审核处理SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商

53、品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 52批准申请SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 53批准处理SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFO

54、SEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 54持续监督SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 55审核批准的文档阶段阶段输出文档输

55、出文档文档内容文档内容审核申请审核申请书审核的范围、对象、目标和进度要求，以及申请者的基本信息和签字等。审核材料风险评估过程和风险控制过程输出的文档、软件和硬件等结果。审核受理回执同意受理、补充材料的要求和提交时间（如果需要）、审核的进度安排和收费标准，以及审核机构的名称和签章等。审核处理审查结果报告审查的范围、对象、意见和结论（即是否通过），以及审查人员的名字和签字等。测试结果报告测试的范围、对象、意见和结论（即是否通过），以及测试人员的名字和签字等。专家鉴定报告鉴定的范围、对象（及其基本情况）和结论，以及专家名单和签字等。审核结论报告审核的范围、对象、意见、结论（即是否通过）和有效期，以及

56、审核机构的名称和签章等。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 56审核批准的文档批准申请批准申请书批准的范围、对象和期望，以及申请者的基本信息和签字等。批准受理回执同意受理、补充材料的要求和提交时间（如果需要），以及批准机构的名称和签章等。批准处理批准决定书批准的范围、对象、意见、

57、结论（即是否通过）和有效期，以及批准机构的名称和签章等。持续监督审核到期通知书到期的时间和重新申请的要求，以及审核机构的名称和签章。批准到期通知书到期的时间和重新申请的要求，以及批准机构的名称和签章。机构变化因素的描述报告机构及其信息系统变化因素的列表、说明和安全隐患分析等。环境变化因素的描述报告信息安全相关环境变化因素的列表、说明和安全隐患分析等。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

58、INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 57三、信息安全风险管理各组成部分 1 1、对象确立、对象确立2 2、风险评估、风险评估3 3、风险控制、风险控制4 4、审核批准、审核批准5 5、监控与审查、监控与审查6 6、沟通与咨询、沟通与咨询SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴

59、硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 58监控与审查的概述 监控与审查对信息安全风险管理主循环的四个步监控与审查对信息安全风险管理主循环的四个步骤（即对象确立、风险评估、风险控制和审核批准）骤（即对象确立、风险评估、风险控制和审核批准）进行监控和审查。监控是监视和控制，一是监视和控进行监控和审查。监控是监视和控制，一是监视和控制风险管理过程，即过程质量管理，以保证过程的有制风险管理过程，即过程质量管理，以保证过程的有效性；二是分析和平衡成本效益，即成本效益管理，效性；二是分析和平衡成本效益，即成本效益管理，以保证成本的有效性。审查是跟踪受保护系统自身或以保证成本的有效

60、性。审查是跟踪受保护系统自身或所处环境的变化，以保证结果的有效性。所处环境的变化，以保证结果的有效性。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 59监控与审查过程 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC S

61、IC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 60贯穿对象确立阶段阶段监控监控审查审查过程有效性成本有效性 结果有效性风险管理准备风险管理计划制定的流程及其相关文档风险管理计划的成本与效果风险管理计划书的时效信息系统调查信息系统调查的流程及其相关文档信息系统调查的成本与效果信息系统的描述报告的时效信息系统分析信息系统分析的流程及其相关文档信息系统分析的成本与效果信息系统的分析报告的时效信息安全分析信息系统安全

62、要求分析的流程及其相关文档信息系统安全要求分析的成本与效果信息系统的安全要求报告的时效SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 61贯穿风险评估阶段阶段监控监控审查审查过程有效性成本有效性 结果有效性风险评估准备风险评估的计划制定、程序确定以及方法和工具选择的流程及其相关文档风险评估的

63、计划、程序以及入选方法和工具的成本与效果风险评估计划、风险评估程序和入选风险评估方法和工具列表的时效风险因素识别资产、威胁列和脆弱性识别的流程及其相关文档资产、威胁列和脆弱性识别的成本与效果需要保护的资产清单、面临的威胁列表和存在的脆弱性列表的时效SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧

64、巧 62贯穿风险评估风险程度分析已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的流程及其相关文档已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的成本与效果已有安全措施分析报告、威胁源分析报告、威胁行为分析报告、脆弱性分析报告、资产价值分析报告和影响程度分析报告的时效风险等级评价威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及风险评估报告生成的流程及其相关文档威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及风险评估报告生成的成本与效果威胁源等级列表、威胁行为等级列表、脆弱性等级列表、资产价值等级列表、影响程度等级列表

65、和风险评估报告的时效SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 63贯穿风险控制阶段阶段监控监控审查审查过程有效性成本有效性 结果有效性现存风险判断可接受风险等级确定和现存风险接受判断的流程及其相关文档可接受风险等级确定和现存风险接受判断的成本与效果风险接受等级划分表和现存风险接受判断书

66、的时效控制目标确立风险控制需求分析和风险控制目标确立的流程及其相关文档风险控制需求分析和风险控制目标确立的成本与效果风险控制需求分析报告和风险控制目标列表的时效SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC)硬商品买卖在阿里巴巴硬商品买卖在阿里巴巴 软商品交易在阿里巧巧软商品交易在阿里巧巧 64贯穿风险控制控制措施选择风险控制方式和措施选择的流程及其相关文档入选风险控制方式和措施的成本与效果入选风险控制方式说明报告和入选风险控制措施说明报告的时效控制措施实施风险控制实施计划制定和风险控制措施实施的流程及其相关文档风险控制实施计划制定和风险控制措施实施的成本与效果风险控制实施计划书和风险控制实施记录的时效SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC